a6595085 wrote:
理論上跟這個無關,...(恕刪)
是的。
Firewall規則裡也沒有跟這個有關,只有一條Loop Back看起來有關。
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT Loopback 192" dst-address=\
192.168.10.0/24 out-interface=bridge1 src-address=192.168.10.0/24
看起來沒問題吧?
親戚家裝潢, 建商建造時各房間的網路管路均走至公共樓梯間的"弱電/資訊箱", 現如我在屋內安裝 RouterBoard 當 Router/AP, 線路跨接如圖;
明顯的, 樓梯間的"資訊箱"暴露在外, 請問 ROS 防火牆如何設置, 可以有效的阻絕, 外來裝置從"資訊箱"接入網路?
a6595085 wrote:
理論上跟這個無關,...(恕刪)
a6595085大
抱歉回晚了~以下是截圖
看來是因為解析不到FQDN,不知道有沒有修復或改正的方式可以提供一下,這部分不太熟啊
謝謝~
不過在同一個網段,跨一個BRIDGE就不OK了,還是有點不解~
--------------------------------------------------------------------------------
剛剛發現nslookup時"_ldap._tcp.dc_msdcs."應該是少了個點在dc後面,所以應該是"_ldap._tcp.dc._msdcs."
--------------------------------------------------------------------------------
發現問題是
第一點 Router mode的 Bridge設定會預設/interface bridge settings set use-ip-firewall=yes,所以代表他會過防火牆。
第二點 是我在RAW有設定Drop掉port137-139,445
所以解決了......
謝謝a6595085大的鼎力相助
boneyard wrote:a6595085大...(恕刪)
不客氣,恭喜解決,跟後來猜想的,可能是Port被擋住一樣
嘛一開始應該要先問你有沒有設定什麼規則在router上,這樣可以更快解決問題
做nslookup主要是確認Bridge 2底下的電腦能不能正確查詢到AD主機的ldap SRV紀錄,
原先以為是卡在FQDN查詢出錯,不過最後竟然是有這幾條擋port的規則XDD
因為AD需要UDP port 445來做資料同步,擋了就過不去了
AD Port列表
這邊有微軟提供的Port清單
這個是網路上有人詢問是否能把port 445 block掉的資訊
上面寫 port 445用在複製資料、使用者和電腦驗證、GPO和信任原則,停用掉的話可能會出問題。
而Port 137-139主要是NETBIOS使用的Port,
不過現在的系統理論上會用FQDN應該不會用NETBIOS來加入網域了,應該跟這組port無關,
有錯還請指正。
因此基本上不需要在區網擋這些port,這樣SMB服務還有AD都會出問題
如果是要防止WannaCry攻擊之類的
應該加規則去drop外部進來的連線,然後確保區網機器的SMBv1停用大致上就沒問題了。
以上給你參考一下~
我目前需要的用途為 家裏有固定IP 要連上用4G上網的海康威視的監視器(4G分享器後端接一台MikroTik 再接海康威視的監視器)(我總共有三台監視器,所以有4台MikroTik設備,一台放在家裏當固網的伺服器用,其它的放在各個海康威視監視器前使用)
之前有請購買時的賣家做設定都可以使用.但目前一台海康威視的監視器故障,及不同處的MikroTik故障,所以我將A處的MikroTik設備(監視器故障)拿到B處接上海康威視的監視器上(B處是MikroTik故障),但是這樣接上還是無法以遠端監看.c處的監視器可以遠端監看.
上面只是原由,下面才是重點.
我想用LM 11 過戶來交換以MikroTik RB750Gr3 2台來做說明,教我如何設定可以做到MikroTik 可以遠端來監看海康威視監視器的設定.希望能作成文件,因為我真的不懂.(目前我的海康威視監視器監視器有三台,目前一台電源供應器壞了,己購買但貨還沒有收到.之後還是會在購買海康威視監視器) 需要的MikroTik RB750Gr3設備,我會準備.上網購買.
上網查也是個方法,但是真的沒這方面的天份,所以想出用LM 11 過戶交換知識的方法.
小毛3822 wrote:
不好意思,介個版面...(恕刪)
簡單說,就是有ABCD四台ROS,分別放在三處跟家中
三處都是透過4G分享器連上網,家中是用固定IP
如果是上述狀況,那就是讓ABC三台做為Client端,透過VPN(PPTP/L2TP)連到家中的ROS,
之後設定Routing Table讓這三台底下的監視器可以跟家中ROS區網互通
遠端監視的部分,我沒摸過海康的監視器,看了一下APP介面,應該是透過IP:Port的方式來跟每個Cam連接
那這樣的話,只要在家中的ROS建NAT規則,個別把Port轉發過去ABC處Cam的IP就解決在外遠端監看的問題了
以上提供大致上的思考建構方向,可以參考一下
a6595085 wrote:
簡單說,就是有ABCD四台ROS,分別放在三處跟家中
三處都是透過4G分享器連上網,家中是用固定IP
如果是上述狀況,那就是讓ABC三台做為Client端,透過VPN(PPTP/L2TP)連到家中的ROS,
之後設定Routing Table讓這三台底下的監視器可以跟家中ROS區網互通
遠端監視的部分,我沒摸過海康的監視器,看了一下APP介面,應該是透過IP:Port的方式來跟每個Cam連接
那這樣的話,只要在家中的ROS建NAT規則,個別把Port轉發過去ABC處Cam的IP就解決在外遠端監看的問題了
以上提供大致上的思考建構方向,可以參考一下
)
謝謝您的指點,只是現在的我還無法理會,但是我會注意的.
如您說一樣.只是目前的設定都不是我設定的.是跟之前賣ROS的賣家說好我的需求,請賣家遠端連線來做設定的.用了二年都沒有問題.最近監視器及一台ROS有問題了,才想到要碰ROS,但完全沒有基礎,怕亂弄了,結果完全無法監看了,會更慘.才想到再買台新的ROS自己先練習,都沒有問題後,再將賣家的設定一台一台重設.不然每次發生問題我都無法解決.
內文搜尋
從 APP 打開
X